금융감독원은 지난해 발표한 ‘금융회사 IT보안 강화 종합대책’을 지속적으로 추진할 것이라고 밝힘에 따라 애플리케이션 위변조 방지솔루션 시장의 확대가 기대된다.

앱 위변조 방지솔루션이 부각되기 시작한 것은 올해 초부터다. 지난해 10월 금융감독당국은 전자금융감독규정 개정을 통해 금융기관 또는 전자금융업자는 전자금융거래프로그램의 위변조여부 등 무결성을 검증할 수 있는 방법을 제공해야 한다고 정한 바 있다.

다행이도 이미 국내 대부분의 은행에서는 앱 위변조 방지솔루션 도입을 확정하고 적용에 돌입했다. 주요 은행중 농협, 하나은행, 기업은행, 국민은행, 산업은행, 우체국 등은 이미 구축을 완료한 상태다. 대구은행, 광주은행 등 지역기반 은행도 도입을 준비 중이다.

또한 증권업계에서도 MTS(모바일트레이딩시스템) 앱의 무결성 확보를 위해 앱 위변조 방지솔루션 도입을 준비하고 있어 관련 시장이 더욱 탄력을 받을 것으로 전망된다. MTS 역시 무결성이 확보되지 않으면 거래시 심각한 문제가 발생할 수 있기 때문이다.

앱 위변조 방지솔루션의 중요성이 언급되기 시작한 것은 지난해부터다. 스마트폰 모바일 뱅킹 사용자가 급속도로 늘었으나 이에 대한 보안조치가 미비하다는 금융당국의 지적이 나왔다. 이는 루팅, 탈옥된 스마트폰에서 금융 서비스를 사용하는 것이 매우 위험하기 때문이다.

지난해부터 일부 금융권 앱의 설치파일(iOS : .IPA, 안드로이드 : .APK)의 코드가 변경돼 재배포되고 있다. 이는 스마트폰 사용자들의 기능 향상을 목적으로 탈옥이나 루팅을 한 환경에서 금융권 앱을 사용하기 위한 니즈가 급격히 늘어났기 때문이다.

통상 탈옥이나 루팅이 된 스마트폰에서는 금융권 앱이 구동되지 않는다. 특정 파일(cydia, su)와 같은 파일의 유무를 체크하는 코드가 들어있기 때문이다.

그러나 일부 개발자들은 금융권 앱을 뜯어서 특정 파일의 존재유무를 체크하는 코드를 무력화해 재탄생(리버싱 Rebirthing)시켜 배포한다. 사용자의 입장에서는 탈옥한 상태에서도 금융권 앱을 쓸 수 있다는 장점이 있지만 이게 말처럼 편하기만 한 것은 아니다.

위변조된 앱들이 단순히 탈옥한 사실을 숨겨주는 코드뿐 아니라 사용자 정보를 탈취하는 코드를 심어놨을지는 아무도 알 수 없기 때문이다. 가령 위변조된 스마트뱅킹 앱이 사용자의 금융정보를 탈취해갈 수 있다.

전문을 금융기관과 주고받는 과정에서 이를 탈취당할 수 있으며, 사용자 몰래 키로깅 코드를 숨겨둘 수 있어 위험은 배가 된다.

국내에서는 이와 같은 사례가 발생하지 않았지만 해외에서는 이미 ‘드로이드드림(DroidDream)과 같이 정상 앱의 코드 변조를 통한 악성코드 유포나 개인정보 탈취가 이뤄진 사례가 발견된 바 있다.

현재 앱 위변조 방지솔루션을 보유한 업체들은 솔루션의 고도화를 통해, 난독화, 안티디버깅, 무결성체크, 통신 암호화 등 다양한 기술을 접목시키고 있다.


2012/10/15 09:24 2012/10/15 09:24
행정안전부의 내년도 예산안에 따르면 개인정보보호 관련 예산은 76억원이라고 합니다. 이는 올해 개인정보보호 예산인 70억원에 비해 약 9% 상승한 금액인데요.

행안부는 이를 지난 3월 계도기간이 만료된 개인정보보호법이 본격적으로 시행됨에 따라 기술적·관리적 개인정보보호 조치를 강화하기 위해서라고 설명합니다.

행안부는 내년부터 사업자들의 개인정보 인식제고를 위핸 개인정보 실태점검을 강화(25억->30억)하고, 개인정보 교육, 홍보 등에도 적극적으로 투자(14억->15억)할 계획입니다. 또 주민번호 대체를 위해 아이핀(IPIN) 활성화에도 박차를 가할 계획입니다. 아울러 개인정보보호 기술지원센터 운영(26억), 개인정보 법·제도개선과 분쟁조정운영(5억)도 본격화할 예정입니다.

이번 행안부의 개인정보보호 관련 예산안은 시장의 목소리를 많이 반영한 것으로 보여 더욱 기대가 됩니다.

개인정보보호법은 지난해 9월 30일에 시행, 약 1년간의 시행기간을 거쳐왔습니다. 그러나 지속적으로 발생한 개인정보유출사고를 비롯해 사업자들의 개인정보보호법 이해도 부족, 여전히 이뤄지고 있는 주민번호 수집은 개인정보보호법 시행을 무색케 했습니다.

개인정보보호 관련 예산안과 시장의 수요를 하나씩 비교해보도록 하겠습니다.

개인정보보호법 상에는 개인정보보호 조치를 제대로 취하고 있는지의 여부를 판단하기 위해 내부감사를 실시해야한다는 조항이 존재합니다.

그러나 내부감사의 특징 상 업체, 기관 스스로 문제점을 찾아내지 못하는 경우도 있고, 찾더라도 은닉하는 상황이 발생할 수 있는게 현실입니다.

이런 이유 때문에 법조계에서는 개인정보유출사고 방지를 위해서는 내부감사뿐 아니라 외부감사를 실시해야한다고 목소리를 모았습니다.

이와 관련 이강신 김앤장 전문위원은 “내부감사만으로는 개인정보보호와 관련된 부분을 모두 체크할 수 없다”며 “이제는 내부감사뿐 아니라 외부감사도 실시하도록 고민이 필요한 시기라고 생각한다”고 말합니다.

이에 대해 행안부는 사업자들을 대상으로 개인정보 실태점검을 강화한다는 계획입니다. 개인정보취급을 제대로 하고 있는지, 불필요한 정보를 수집·보관하지는 않는지 등에 대한 조사입니다. 또 국민들이 개인정보를 침해당했을 때, 이를 신고할 수 있는 절차를 간소화, 피해를 최소화시키겠다는 계획입니다.

개인정보보호법에 대한 교육과 홍보가 부족하다는 것도 여러차례 거론됐습니다. 개인정보보호법은 IT기업의 실무자가 이해하기는 어려운 법안이라고 합니다.

김영미 상명대 교수는 “개인정보보호법은 어려운 법안이다. 국가단위에서 개인정보보호법과 관련된 부분을 지속적으로 공지하고 교육해 현장의 부담을 줄여주는 것이 필요하다”며 “현재도 교육과 관련해서 많은 노력과 지원이 있지만, 손길이 닿지 않는 곳을 보완할 수 있는 노력이 필요하다”고 설명합니다.

행안부는 내년도 예산안에서 ‘개인정보보호 교육과 홍보, 자율규제 지원 등’에 15억원을 책정했습니다. 지난해보다 약 10% 상승한 금액인데요. 이와 관련 한순기 행정안전부 개인정보보호과장은 “향후 과제로 관련기관과의 협조를 통한 분야별 가이드라인을 마련해 법과 제도를 널리 알려 개인정보보호의 역량을 강화시키겠다”고 강조했습니다.

현재도 행안부는 정부기관, 의료기관 등에서 지켜야할 개인정보보호법 항목을 가이드라인으로 제작해 배포하고 있으며, 향후 더 많은 기관을 대상으로 한 가이드라인을 제작, 배포할 계획입니다.

이외에도 행안부는 정보화 역기능에 대응하기 위한 예산으로 80억원을 책정, 인터넷 중독 예방교육, 정보윤리교육 등을 실시할 계획입니다.

내년도 행안부 예산안이 부족함없이 정기국회를 통과할 수 있길 기대해봅니다.

2012/10/07 09:20 2012/10/07 09:20